惠普NonStop是一款容错服务器,可进行全面的故障检测和隔离,并保护数据的完整性。 NonStop服务器在处理目录访问权限时存在漏洞,本地攻击者可能利用此漏洞获取非授权访问。 在运行G06.29的HP NonStop Server上,如果没有分配可选的访问控制列表(ACL)项的话,就无法正确的评估目录权限。这可能对OSS目录造成安全漏洞,可能导致非授权的本地访问。 HP NonStop Server G06.29 临时解决方法: 首先备份2版本的文件组并升级到3版本: SCF DIAGNOSE FILESET $ZPMON.<fileset>, UPGRADE 为了确保明确的目录权限,如果目录还没有相关的ACL的话,分配一个合适的安全ACL。如果要保证实施了这个临时解决方案后所创建的目录或文件不再受同样问题的影响,请对已有目录分配至少一个默认的ACL项。 以下这个OSS命令为特定目录树内的所有目录分配了有良好默认设置的可选ACL项(例如,使用文件组加载点目录),这样所有之后在该目录树中自动创建的目录都拥有对其所分配的可选ACL项: find <directory> -type d -print | xargs -n1 setacl -m d:u:SUPER.SUPER:r-- 如果系统上所有开始的文件组都是3版本的,使用OSS命令为所有目录分配可选ACL项: find / -W NOG -W NOE -type d -print | xargs -n1 setacl –m d:u:SUPER.SUPER:r-- 厂商补丁: HP -- HP已经为此发布了一个安全公告(HPSBNS02166)以及相应补丁: HPSBNS02166:SSRT061255 rev.1 - HP NonStop Server running G06.29, Local Unauthorized Access 链接:http://www2.itrc.hp.com/service/cki/docDisplay.do?docId=c00795238&hpweb_printable=true
惠普NonStop是一款容错服务器,可进行全面的故障检测和隔离,并保护数据的完整性。 NonStop服务器在处理目录访问权限时存在漏洞,本地攻击者可能利用此漏洞获取非授权访问。 在运行G06.29的HP NonStop Server上,如果没有分配可选的访问控制列表(ACL)项的话,就无法正确的评估目录权限。这可能对OSS目录造成安全漏洞,可能导致非授权的本地访问。 HP NonStop Server G06.29 临时解决方法: 首先备份2版本的文件组并升级到3版本: SCF DIAGNOSE FILESET $ZPMON.<fileset>, UPGRADE 为了确保明确的目录权限,如果目录还没有相关的ACL的话,分配一个合适的安全ACL。如果要保证实施了这个临时解决方案后所创建的目录或文件不再受同样问题的影响,请对已有目录分配至少一个默认的ACL项。 以下这个OSS命令为特定目录树内的所有目录分配了有良好默认设置的可选ACL项(例如,使用文件组加载点目录),这样所有之后在该目录树中自动创建的目录都拥有对其所分配的可选ACL项: find <directory> -type d -print | xargs -n1 setacl -m d:u:SUPER.SUPER:r-- 如果系统上所有开始的文件组都是3版本的,使用OSS命令为所有目录分配可选ACL项: find / -W NOG -W NOE -type d -print | xargs -n1 setacl –m d:u:SUPER.SUPER:r-- 厂商补丁: HP -- HP已经为此发布了一个安全公告(HPSBNS02166)以及相应补丁: HPSBNS02166:SSRT061255 rev.1 - HP NonStop Server running G06.29, Local Unauthorized Access 链接:http://www2.itrc.hp.com/service/cki/docDisplay.do?docId=c00795238&hpweb_printable=true